#PSA: React RSC 的 RCE 漏洞,影响 Next.js 等,受影响用户请立即更新。
- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(以及个别 14 canary 版本)。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题,可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React,则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。
CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)
1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~
#React #Nextjs
- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(以及个别 14 canary 版本)。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题,可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React,则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。
CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)
1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~
#React #Nextjs
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
